PasswortHack für die v2.2.1

[Afterburner]

HackVersion: BETA 3

Mit diesem Hack könnt ihr ein Board mit einem Passwortschutz versehen.
Das Passwort wird im Adminbereich unter:

Forums and Moderators
--> modify
---> das board wählen

eingegeben.

Dieser Hack ist erst einmal eine BETA. In der Endversion soll auch den Zugriff auf die geschützten Boards selbst wieder (als normaler member) aufheben können.

Gefixed zur letzten Version:

- keine Anzeige mehr von Beiträgen aus passwortgeschützten Boards in der Suchfunktion.
- Schutz jetzt auch beim erstelen neuer Beiträge.

[Afterburner]

Es gab noch einen kleinen Bug über das Profil eines Users konnte man den Titel des Postings im geschützten Board sehen.

aktuelle Version vom Hack ist jetzt 1.0 (also nicht mehr BETA)

wenn ihr den hack noch nicht installiert habt dann ladet den hack in diesem Posting runter ansonsten macht folgende Ergänzung um upzudaten:

PHP-Code:

member.php runterladen und sichern

diesen Code suchen:

$lastposturl="showthread.php?s=$session[sessionhash]&postid=$getlastpost[postid]#post$getlastpost[postid]";

ersetzen durch:

$foruminfo = $DB_site->query_first("SELECT forumid,password FROM forum WHERE forumid='$getlastpost[forumid]'");
if ($foruminfo[password]!="") {
$lastposturl="";
$lastposttitle="$bbtitle";
} else {
        $lastposturl="showthread.php?s=$session[sessionhash]&postid=$getlastpost[postid]#post$getlastpost[postid]";
}

member.php wieder hochladen. 


[DOE]

denn werde ich mal ausprobieren!

thx

[CouJo]

Die Idee mit diesem "userspezial" ist für kleine Communities sicherlich gebräuchlich, man muß sich aber vor Augen halten, dass für jedes PW-geschütze Forum eine Spalte an die Tabelle "userfield" angehängt wird. Bei unserer Community (first-board.de) kamen aber ca. 800 PW geschütze Foren zusammen. Man kann sich vorstellen, dass die Datenbank an der Tabelle "userfield" zerbrochen ist. Eine doch recht einfache Lösung ist es, den von vB gesetzten Cookie zu erweitern und dort den Zugang zum PW geschützen Forum zu speichern.

Ich habe das bei first-board.de so eingebaut. Wenn Interesse daran besteht, ich kann es posten...

Greets, CouJo!

[Afterburner]

800 Foren hast Du ? WOW und da hast Du keine Cookie Probleme wenn Du z.B. einzelne Foren als gelesen markieren willst ?

[CouJo]

Nein, die Cookies machen keine Probleme. Es ist so, dass First-Board Foren hostet, d.h. man wird sich nicht alle Foren durchlesen - deswegen sollten bei den Cookies keine Probleme auftreten.

Zu den Cookies beim Forenschutz:
Ich habe einfach den Cooikienamen aus der ForumID generiert, also im Prinzip genauso wie Du!

Die Cookievariable heißt also bei mir access$foumid. Der Wert ist das Passwort, allerdings md5 verschlüsselt.

Wenn ich jetzt ein PW geschütztes Forum besuche, wird diese Cookievariable überprüft... so in etwa sieht es dann aus...

PHP-Code:

if($HTTP_COOKIE_VARS['access".$forumid."'] == md5($forumpassword))
{
  // access ok
  // Cookie Gültigkeit verlängern
}
else
{
  // kein access
  // Cookie löschen
} 


Wenn das Passwort stimmt, wird die Gültigkeit des Cookies verlängert, ansonsten wird dieser Cookie gelöscht (aber nur der access Wert). Damit fällt die Aktion mit der 0 im Admin Panel weg. Die Userspezialspalten brauch man auch nicht mehr. Das entlastet die Datenbank wirklich ungemein.

Greets, Coujo!

[vBFreak]

gibts auch nen Hack dass man alles was im verzeichnis /admin liegt mit diesem PW Login-Fenster versehen kann, dass auch immer erscheint wenn man kein Admin ist und auf das Admin CP zugreifen will??? Ich würde gerne in das geschützte /admin verzeichnis dazu verwenden, um dort phpMyAdmin zu lagern...

[CouJo]

Dazu braucht man keinen Hack. Wir haben das per ".htaccess" gelöst. Diese Methode besteht aus 2 Datein. Eine enthält die Usernamen / Passwörter und die andere regelt die Zugriffe.

Die ".htaccess" muß in Dein Admin Verzeichnis. Ein Beispiel würde so aussehen:

Code:

AuthName "Admin Panel"
AuthType Basic
AuthUserFile /pfad/zu/Deiner/paswortdatei
require valid-user

Die Passwortdatei wird im Allgemeinen im gleichen Verzeichnis abgelegt, was aber unsicher ist. Ich würde sie außerhalb des Web-Zweiges positionieren. In der .htaccess wird dann der Pfad (nicht die URL) zur Passwortdatei eingetragen. Die Passwortdatei kannst Du mit dem Tool "htpasswd" anlegen. Das ist bei den meisten Linux Systemen installiert. Syntax in etwa so:

Code:

htpasswd -c .htpasswd Username

Dann mußt Du noch 2x das Passwort für den User eingeben. Die CL Option "-c" sagt nur, dass die Datei angelegt werden soll. Du kannst noch meherere Name / PW Paare in die Datei speichern...

Hört sich stark nach einer Hackerabwehr an ! Bei uns war das auch nötig. Hacker haben auch unser vB auf'm Kicker gehabt...

Greets, CouJo!

[Kraxi]

@CouJo

Das geht bei mir irgendwie gar nicht...

Es erscheint zwar schön die Abfrage, aber egal, was ich mache... das PW stimmt nie.

Ich habe schoin hundert ,al am Pfad herumgeschraubt, allerdings mit NULL Erfolg

Was mache ich falsch?

Gruss

[CouJo]

Hast Du SSH/telnet login? Dann gib im Verzeichnis der PW Datei mal "pwd" ein. Dann wird Dir der absolute Pfad des Verzeichnisses angezeigt. Dann einfach die PW Datei hintendran und gut...

Das Programm (htpasswd), dass es teilweise zum Download im Internet gibt, verschlüsselt das PW nicht so, dass es klappt. Du mußt das "htpasswd" auf der Maschine ausführen auf dem auch die PW Datei liegen soll!

Greets, CouJo!

[ChEopS]

hmm es gibt noch ne andere möglich keit den absoluten pfad raus zu finden
einfach meine angehängte datei hoch laden ausführen und ganz unten bei server vars steht dann auch der absolute pfad .... der geht dann 100% im htaccess

Code:

<?php
phpinfo();
?>

schreib da jetzt in nen editor und speicher es als wasweisich.php
dann einfach uppen und aussfürhen

[Schorsch]

Danke Afterburner!!!!! funzt echt super dein hack, kann ich wunderbar gebrauchen!!!

ne frage hab ich noch, im admin cp hast du was geschrieben von wegen 0 eintragen dann wird die table geloescht. warum sollte man die tabelle loeschen wollen ?

cu
FE

[Schorsch]

nun ist mir doch noch was aufgefallen:

ich habe nen hack eingebaut, "last post on index page" (oder so aehnlich), da sieht man in der "Letzter Beitrag" Spalte eben das Topic des letzten Beitrages in dem jeweiligen Forum.

das bloede nun sehen auch ALLE den letzten Beitrags Topic im geschuetzten Bereich!!

Wie kann ich das aendern ?

thx,
Schorsch

[Afterburner]

mit der 0 entfernst du den Zugriff aller User die bis damit zugriff haben und danach kannst du dann z.B. ein neues Passwort angeben.

wenn du meinen last posting hack benutzt hast dann kannst du das bei den einzelnen Boards abscahlten, dann aber auch nur für alle Usergruppen

[Schorsch]

ne deinen last posting hack nutze ich leider nicht

[The Ghost]

moin,

@ Afterburner

Folgenden Code habe ich zweimal......


showthread.php runterladen und sichern

Diesen Code suchen (ca 205):

if (!$thread['visible']) {
$idname="thread";
eval("standarderror(\"".gettemplate("error_invalidid")."\");");
exit;
}

$forum=getforuminfo($thread['forumid']);

Muss ich den Code bei beiden stellen einfügen??

Hab Version 2.2.6

thx im voraus

mfg

The Ghost

[Schorsch]

ne nur den in zeile 205.

cu
Schorsch

[The Ghost]

Original geschrieben von Schorsch
ne nur den in zeile 205.

thx

[The Ghost]

moin,

funktioniert einwandfrei!

Noch eine Frage:

Wenn ich einmal das Passwort für ein Forum eingegeben habe, komme ich immer wieder in dieses. Kann man es irgendwie so ändern das ich jedesmal das Passwort eingeben muss?

thx im voraus

mfg

The Ghost

[Afterburner]

Original geschrieben von The Ghost
moin,

funktioniert einwandfrei!

Noch eine Frage:

Wenn ich einmal das Passwort für ein Forum eingegeben habe, komme ich immer wieder in dieses. Kann man es irgendwie so ändern das ich jedesmal das Passwort eingeben muss?

thx im voraus

mfg

The Ghost

nein geht leider nicht so ohne größere änderungen